IPS 5.1各个引擎分类解释

network

IPS 5.1各个引擎分类解释


IPS 5.1里signature engine是一个sensor的组成部分，每一个signature被一个特定的，设计来监控特定流量的signature engine所监控，每一个engine都有自己的一套参数，配置这些特定的engine参数，能够更加优化signature对网络的分析，所以我觉得玩ＩＰＳ最重要的就是掌握每钟引擎的作用是很重要的，个人认识，呵呵

下面介绍这些引擎的作用
引擎的分类
Atomic:对单个包进行处理

Flood:检测由DOS产生的攻击(这个字开头的八成是和DOS有关的signature)

Meta:执行事件关联(对几个signature进行归类,只告一次警)

Normalizer:检测不明确或者异常的流量(对流量进行规范化处理的引擎,比如不允许分片,加密等)

Service:对5-7层的服务进行协议分析的引擎

State:对TCP流量进行状态化的字段匹配监控和告警引擎(它监控一个有序列的会话过程,比如telnet登入后输入帐号密码,随后又enable密码,一个有序的过程中出现了什么字段采取相应的动作)

String:对多重传输协议进行字段匹配监控和告警引擎(对多个包(一系列流)中的字段进行匹配(而不是一个包),比如在telnet会话中,一旦输入root,就deny,这是由多个包组成的,其中一个r是来回2各包)(如果要对一个syn包进行匹配就选Atmoic ip)

Sweep:检测扫描引擎(ping扫描或者端口扫描都属于这个引擎)

Traffic:检测流量不规则(比如对于icmp的echo以及echo reply其实都是有数据部分的,单这数据部分都是很规范的,没有任何意义的,这个引擎就监控这个没有意义的部分,因为有些木马会插入到这个部分中,如果发现数据部分是没有规律的,有意义的话,就是流量的不规则,因该做处理)

Trojan:检测特洛伊木马产生的不标准协议(木马现在有通信的特殊端口号以及协议,这个引擎可以对这些进行监控)

AIC:深度监控FTP和HTTP流量(启动后可以使IPS具有application firewall的作用)